Fichiers disparus => retrouvés dans thumbs.ms [résolu] - Sécurité - Windows & Software
Marsh Posté le 13-07-2009 à 12:02:41
Salut
Regarde dans le journal des évènements si tu trouves une trace de l'installation.
Démarrer / Executer / eventvwr.msc
Marsh Posté le 13-07-2009 à 12:35:53
hélas je ne trouve rien de concluant.
Enfin si j'ai remarqué a 6h30 du mat un démarrage d'encryption qui s'est terminé a 12h et qqs.... mais ca m'étonne vu que je n'étais pas levé et quand je me suis réveillé mon pc ne tournait pas...
la je tente une distrib linux sur clé usb je ne sais plus quoi faire.
le premier probleme étant qu'ils n'apparaissent pas.
Marsh Posté le 13-07-2009 à 12:55:24
bon j'ai commencé a trouver, ils se trouvent dans thumbs.ms je sais pas d'ou vient cette connerie. C'est treesize qui me les détectent la, par contre quand j'entre avec l'explorateur windows il ne voit que des imprimantes.
La taille m'a alarmé, 200Go sur le dossier, c'est forcément étrange. Le nom du répertoire contenant le tout est comme on peut s'y attendre bourré de symboles étranges, donc me faut un explorateur qui les lise pour pouvoir les bouger.
Ca semble etre un fichier com et je penche plus pour une blague d'un plaisantin que pour une mauvaise manip.
Marsh Posté le 13-07-2009 à 12:59:51
Dans les options de dossiers, coche l'option "Afficher les fichiers cachés", et décoche l'option "Masquer les fichiers protégés...". Ton dossier devrait apparaitre.
Marsh Posté le 13-07-2009 à 13:08:07
déja fait dès le départ (sous 7 => controlpanel\folderoptions\), mais je pense que c'est un fichier avec un espace devant je pense, je ne me souviens plus comment on y accède.
"e:\thumbs.ms"
puis
"com1.{d3e34b21-9d75-101a-8c3d-00aa001a1652}"
Sous dos je le vois aussi, je le voyais sous plusieurs logiciels avant d'ailleurs mais je ne voyais pas sa taille, je pensais que c'était normal. J'avais assimilé ca avec ce qu'on trouve sous recycle.bin par exemple.
Merci de m'aider dans tous les cas.
Marsh Posté le 13-07-2009 à 16:52:39
Toujours rien, j'ai du m'absenter, si quelqu'un connait un logiciel ou la commandes pour dévérouiller ce type de répertoires..
Marsh Posté le 13-07-2009 à 18:20:16
bon je pense avoir fait une réparation de fortune, c'est pas académique.. je poste au cas ou ca serve a quelqu'un.
J'ai renommé le fichier .ini qui était dans le répertoire thumbs.ms et qui empechait de voir le dossier avec l'explorer normal. j'ai viré l'extension donc il devenait un fichier sans extension, c'était un fichier fait pour paramétrer la tete du dossier.
Après avoir testé un bon paquet de logiciels d'explorer, j'ai lancé 7-zip qui apparemment n'a pas de problemes de lectures de dossier bizarres, probablement qu'il n'en a pas d'ailleurs sur les repertoires cryptés, vu qu'il gere pas mal de choses, enfin je sais pas... vu que je ne saurais jamais ce qui a pu l'encrypter ou autre. De la j'ai fait un move to et j'ai déplacé sur un autre disque dur au cas ou... (pour ne pas réécrire sur d'eventuels fichiers effacés).
J'ai déja récupéré mon album photo... ouff !!!!!!!
edit: j'ajoute que j'ai été bien con, je n'ai pas lancé mon total commander, pensant que 7 n'apprécierait pas or ils sont compatibles, le logiciel lit très bien comme d'hab n'importe quel nom et peut régler aussi le soucis. Avec en prime la possibilité de comparer par octets pour vérifier que les fichiers sont bien transférés.
Marsh Posté le 13-07-2009 à 11:52:00
Bonjour,
Samedi j'étais a la recherche d'un logiciels de cryptage compatible seven beta pour crypter des dossiers de mon disque dur, je ne me souviens pas vraiment quel logiciel j'ai testé car il y en avait plusieurs. Je sais que la seule information que j'ai recu me disait qu'il y avait un soucis sur E, sachant que je n'avais pas sélectionné E ni quoique ce soit d'autres ca m'a chiffoné. Rien de spécial sur le moment donc je ne fais plus attention.
Aujourd'hui je redémarre mon pc et ne me reste sur E que mes mp3s, tout le reste a foutu le camp, soit 200Go de données a savoir dans le lot mon album photo (j'ai fait une backup mais je perdrais des photos car elle date de début d'année) mes documents (pas de backups) dont des cours, des lettres AR, des fichiers super importants quoi... et il y'en avait pour 10 ans... C'était le dur principal ou je stockais tout ce qui était important et faisait de temps en temps des backups, mais la j'étais en plein triage et maj je serais infoutu de dire ce que j'ai perdu donc il est crucial que je retrouve.Et des vidéos pour mariage, enterrement de vie de garcon de copains etc etc. Bref la cata.
Ce que j'ai constaté ce matin c'est que l'espace vide est toujours le meme, donc les données ne semblent pas effacées mais masquées, je sais que l'explorer windows n'est pas foutu de voir les fichiers avec un nom d'espace devant, mais je ne me souviens plus quel logiciel peut le faire, je sais qu'un logiciel de ftp en était capable avant. Je pense dans tous les cas que c'est du a un des logiciels de cryptage.
J'ai déja employé ce matin un logiciel de récupération de données effacées qui n'a bien sur rien trouvé en rapport, donc cela me confirme qu'il n'y a rien d'effacé normalement.
Donc plusieurs questions:
- ou trouver le log des fichiers installés récemment (en espérant que cela provienne d'un logiciel qui s'installe et non d'un exe)
- Quel logiciel permettrait de lire les dossiers masqués.
- toute autre idée est bienvenue.
J'ai testé axcrypt mais l'intégration dans le shell n'était pas possible donc il me semble pas possible d'avoir pu le lancer, d'autant que j'vaais pas envie de m'emmerder en ligne de commande. Je crois aussi avoir testé CryptF
Merci de votre aide je cherche de mon coté.
edit: En dernier cas pensez vous que via linux en installant, je pourrais récupérer mes données ? est ce que le module fourni pour lire les partitions ntfs le peut ?
Message édité par daerlnaxe le 13-07-2009 à 19:28:15